Bucbi fait peau neuve

Le ransomware Bucbi, qui était apparu il y a deux ans, est devenu plus exclusif et utilise les attaques par force brute.

Des chercheurs de Palo Alto Networks on découvert une nouvelle version de Bucbi sur un Windows Server ; le malware exigeait une rançon de 5 bitcoins (2 320 dollars) pour le déchiffrement. L’analyse a permis de démontré que cette nouvelle version du ransomware ne pratique plus la diffusion généralisée comme il y a deux ans mais préfère les attaques ciblées.

« Par le passé, le ransomware attaquait tout le monde sans distinction et se propageait via des pièces jointes ou des sites malveillants » a expliqué Ryan Olson, chercheur de Palo Alto, à Threatpost. « Les individus malintentionnés ont désormais changé de stratégie et utilisent des attaques par force brute. »

D’après Ryan Olson, la version actualisée de Bucbi s’intéresse principalement aux réseaux d’entreprise qui abritent des serveurs RDP accessibles via Internet. Les individus malintentionnés accèdent à ces serveurs Windows via un utilitaire baptisé RDP Brute capable de trouver les mots de passe à l’aide d’un dictionnaire.

Dans leur rapport, les chercheurs ont émis l’hypothèse selon laquelle les cibles principales, identifiées sur la base d’une liste de comptes utilisateur, seraient des terminaux de point de vente. Cette liste contient des noms d’utilisateurs tels que FuturePos, KahalaPOS, BPOS. « Il est tout à fait possible que l’attaque a débuté par une recherche de terminaux de point de vente (par les individus malintentionnés) et après la compromission, lorsqu’ils se sont rendus compte que le périphérique infecté ne réalisait aucune transaction financières, ils ont changé de tactique » supposent les experts de Palo Alto.

L’autre nouveauté est l’abandon de la communication HTTP entre Bucbi et le serveur de commande. Les individus malintentionnés établissent simplement un contrôle RDP complet sur le système attaqué.

Ryan Olson explique que « Bucbi est unique car il est plus qu’un malware diffusé par des méthodes automatiques. Au cours des deux dernières années, il a évolué et est devenu un outil qui peut servir à trouver des données confidentielles, à obtenir une représentation du réseau et à chiffrer les fichiers ».

Un autre trait unique qui n’a pas encore pu être confirmé est la motivation politique des attaques organisées avec son aide. C’est du moins ce qu’affirment ses exploitants. Ryan Olson explique « qu’ils n’ont jamais trouvé d’éléments confirmant ces affirmations ».

L’analyse a identifié de nombreux incides qui permettent d’affirmer que les nouvelle attaques sont liées à Bucbi ; notamment, l’adresse e-mail reprise dans le message de la demande de rançon et que les chercheurs ont pu associer au groupe nationaliste ukraine « Secteur droit ».

Lors d’un entretien avec Threatpost, Ryan Olson a indiqué que Bucbi était un représentant classique du renouveau des escroqueries qui misent sur le chiffrement des informations au lieu du vol en vue de la vente. « Si j’étais un ‘méchant’ désireux de compromettre une institution médicale, je pourrais voler des données personnelles et cliniques. Toutefois l’écoulement des données volées pour obtenir de l’argent et transformer cette activité en source de revenus n’est pas une mince affaire » reconnaît l’expert de Palo Alto. L’utilisation du ransomware signifie que tous les systèmes qui peuvent être compromis ont une valeur potentielle. »

Fonte: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *